Frage zum SPN / Netdom Befehl

[daabm 1.366]

Am 22.11.2024 um 08:56 schrieb phatair:

Aktuell fällt es auf NTLM zurück, wenn wir über einen DNS Alias zugreifen und kein SPN gepflegt ist.

 

Ja, was soll es auch sonst machen? Kein SPN -> kein Kerberos-Ticket Wir haben da übrigens ziemlich raffinierte Konstrukte, um recht dynamisch Domain Realms zu konfigurieren. Wenn Disjoint Namespaces bei Euch ein Thema sind (DNS-Zone != AD-FQDN), kannst gern auf mich zukommen. Natürlich auch ebenso gerne hier im Forum, dann haben alle was davon.

[phatair 39]

Am 22.11.2024 um 09:21 schrieb NorbertFe:

Works as designed würde ich sagen. Habt ihr da was erwartet? ;)

 Nein - ich wollte es nur testen, da bei MS Theorie und Praxis ja nicht immer übereinstimmen muss 

 

Am 23.11.2024 um 16:40 schrieb daabm:

 

Ja, was soll es auch sonst machen? Kein SPN -> kein Kerberos-Ticket Wir haben da übrigens ziemlich raffinierte Konstrukte, um recht dynamisch Domain Realms zu konfigurieren. Wenn Disjoint Namespaces bei Euch ein Thema sind (DNS-Zone != AD-FQDN), kannst gern auf mich zukommen. Natürlich auch ebenso gerne hier im Forum, dann haben alle was davon.

Danke!

Ich muss mir in den nächsten Wochen erstmal einen Überblick verschaffen und falls sich da was in der Richtung auftut, melde ich mich 

[phatair 39]

Hallo zusammen,

ich hab noch eine Frage und hoffe ihr könnt mir noch mal helfen 

Wenn ich den SPN per SetSPN eingetragen habe, muss ich ja den DNS Eintrag noch setzen (der NetDom Befehl hatte das ja automatisch gemacht).

Ist es dann eigentlich egal ob ich einen Alias (CNAME) Eintrag für den SPN erstelle oder einen Host (A) Eintrag nutze?

Wenn ich es richtig verstehe (grob gesagt), kann der A Eintrag nur in der übergeordneten Domain mit der IP hinterlegt werden. Der CNAME hingegen kann direkt den Alias ansprechen und auch Subdomains. 

 

Für den SPN an sich macht das aber keinen Unterschied oder doch? Wir müssen losgelöst vom SPN prüfen ob CNAME oder Host A für uns sinnvoll ist.

 

Oder verstehe ich das falsch?

[NorbertFe 2.061]

Ich würde einen A-Record empfehlen, aber auch nicht aus praktischer Erfahrung, sondern aus einer kurzen Recherche heraus, die diverse Probleme mit CNAMEs und Kerberos-Auth ergab.

[Dukel 455]

Die Probleme bestehen, wenn man z.B. keinen SPN setzt ;)

[phatair 39]

Danke euch.

Dann werden wir wohl einen A-Record verwenden. Es scheint ja dann in Bezug auf den SPN egal zu sein.

[daabm 1.366]

A-Record ist die "sichere" Variante.

 

Bei CNames kommt es auf die Implementierung im Client an. Windows verwendet den Namen, den man nutzt, ohne weiteres FengShui. Wir haben aber z.B. festgestellt, daß der Krüppel-Kerberos-Stack mancher MFPs erst mal eine Namensauflösung macht - genau EINE - und wenn da ein Name zurückkommt, wird der verwendet. Ich weiß, klingt komisch, ist aber so... Und blöderweise haben unsere Server eine Kette von 2 CNames bis zum A-Record (CName -> CName -> A-Record) - der MFP verwendet dann einen CName, der weder identisch mit dem eingetragenen Namen ist noch mit dem eigentlichen Hostnamen.

[NorbertFe 2.061]

vor 2 Minuten schrieb daabm:

mancher MFPs

Ich brauche Namen und Fakten ;)

 

[daabm 1.366]

Lexmark, aber frag mich nicht nach dem genauen Modell.

[NorbertFe 2.061]

Nee reicht schon. :) Und das sind halbwegs aktuelle Modelle, oder aus dem letzten Jahrzehnt? Ist nur interessehalber. Weder hab ich irgendwo Lexmark, geschweige denn die auch noch irgendwo per Kerberos angeklöppelt. :)

[daabm 1.366]

Ja, sind aktuell. Lexmark Support arbeitet mit, Debug Traces und der ganze Kram...

[NorbertFe 2.061]

Na immerhin. Wozu braucht man das eigentlich auf Druckern? Die Scan to smb Funktion?

[daabm 1.366]

Automatische Belegverarbeitung im Finanzwesen... Auf dem Zielshare hängt ein Watcher, der dann weiter "prozessiert"

bearbeitet 12. Dezember von daabm

[NorbertFe 2.061]

Danke. Sowas hab ich in der Form noch nicht gesehen. Immer wieder interessant, welche Lösungen manchmal notwendig sind :)